Wenn ein Benutzer hinzugefügt wird, erstelle ich auf S1 einen Unix-Benutzer und migriere ihn dann zu LDAP, was meines Erachtens falsch ist, aber ich weiß nicht, wie er besser ist.
Sie können die NSS / PAM-Benutzerverwaltung auf Ihrem LDAP-Server direkt mit sich selbst integrieren. Ich mache das mit meinen Æ-DIR- Servern. Natürlich müssen Sie vorsichtig sein, um sich nicht auszusperren, wenn etwas schief geht. Daher ist es eine gute Idee, neben mehreren Replikaten für das Failover eine Art Notfall-Login zur Verfügung zu haben.
Jetzt möchte ich das Passwort für meinen LDAP-Benutzer auf S1 ändern, aber passwd fordert das aktuelle (UNIX) Passwort anstelle des aktuellen (LDAP) Passworts an.
Dies ist Teil der lokalen PAM-Konfiguration . Sie haben nichts über das von Ihnen verwendete Linux gesagt. Bei den meisten Linux-Varianten befindet sich die PAM-Konfiguration jedoch heute im Verzeichnis /etc/pam.d/. Der relevante PAM-Konfig-Teil ist der relevante PAM-Typ, wenn das Kennwort geändert wird, "Kennwort". Die Reihenfolge kann auch mit der PAM-Konfiguration geändert werden.
Übrigens: Ich würde nicht zulassen, dass sich alle Benutzer bei den LDAP-Servern anmelden, um ihr Kennwort mit dem passwd
Tool zu ändern . Ich würde empfehlen, für diesen Anwendungsfall eine webbasierte Kennwort-Self-Service-App bereitzustellen.
Seien Sie gewarnt, dass PAM komplex ist: Sie können sich große Sicherheitslöcher ausheben und / oder sich aussperren. Versuchen Sie es daher zuerst mit virtuellen Einwegmaschinen.
Möglicherweise möchten Sie auch /etc/nsswitch.conf optimieren, wenn Sie Ihr Linux mit einer LDAP-basierten Benutzerverwaltung integrieren möchten.
Vielleicht möchten Sie sich die vollständigen gebrauchsfertigen Lösungen anschauen: